AtlasCross RAT
একটি বড় আকারের সাইবার আক্রমণ অভিযান বিশ্বস্ত সফটওয়্যার ব্র্যান্ডের অনুকরণে তৈরি টাইপোস্কোয়াটেড ডোমেইনের মাধ্যমে সক্রিয়ভাবে চীনাভাষী ব্যবহারকারীদের লক্ষ্যবস্তু করছে। এই প্রতারণামূলক ওয়েবসাইটগুলো অ্যাটলাসক্রস র্যাট (AtlasCross RAT) নামে পরিচিত, পূর্বে অনুল্লিখিত একটি রিমোট অ্যাক্সেস ট্রোজান ছড়ানোর জন্য ডিজাইন করা হয়েছে। এই অভিযানটি ভিপিএন ক্লায়েন্ট, এনক্রিপ্টেড মেসেজিং প্ল্যাটফর্ম, ভিডিও কনফারেন্সিং টুল, ক্রিপ্টোকারেন্সি ট্র্যাকার এবং ই-কমার্স সফটওয়্যারসহ বহুল ব্যবহৃত অ্যাপ্লিকেশনগুলোর ওপর ব্যবহারকারীদের বিশ্বাসকে কাজে লাগায়।
এই পরিকাঠামোতে এগারোটি নিশ্চিত ক্ষতিকারক ডোমেইন রয়েছে, যেগুলো সার্ফশার্ক ভিপিএন, সিগন্যাল, টেলিগ্রাম, জুম এবং মাইক্রোসফট টিমস-এর মতো সুপরিচিত পরিষেবাগুলোর ছদ্মবেশ ধারণ করে। এই কৌশলগত ছদ্মবেশ ব্র্যান্ডের পরিচিতিকে কাজে লাগিয়ে সফল সংক্রমণের সম্ভাবনা বাড়িয়ে তোলে।
সুচিপত্র
হুমকি সৃষ্টিকারীর প্রোফাইল: দ্য সিলভার ফক্স কালেক্টিভ
এই অভিযানের জন্য সিলভার ফক্স নামে পরিচিত একটি কুখ্যাত চীনা সাইবার অপরাধী গোষ্ঠীকে দায়ী করা হয়েছে। এই গোষ্ঠীটি সুইমস্নেক, দ্য গ্রেট থিফ অফ ভ্যালি (ভ্যালি থিফ), ইউটিজি-কিউ-১০০০ এবং ভয়েড অ্যারাকনি-সহ একাধিক ছদ্মনামে কাজ করে। নিরাপত্তা গবেষকরা এই গোষ্ঠীটিকে সাম্প্রতিক বছরগুলোর অন্যতম সক্রিয় সাইবার হুমকি হিসেবে বিবেচনা করেন, বিশেষ করে বিভিন্ন প্রতিষ্ঠানের ব্যবস্থাপক ও আর্থিক কর্মকর্তাদের ক্রমাগত লক্ষ্যবস্তু করার কারণে।
সিলভার ফক্স মেসেজিং প্ল্যাটফর্ম, ফিশিং ইমেল এবং নকল সফটওয়্যার বিতরণ সাইটের মতো বিভিন্ন সংক্রমণ মাধ্যম ব্যবহার করে। এই গোষ্ঠীর উদ্দেশ্যগুলোর মধ্যে রয়েছে দূরবর্তী সিস্টেম নিয়ন্ত্রণ, সংবেদনশীল তথ্য পাচার এবং আর্থিক জালিয়াতি।
ম্যালওয়্যারের বিবর্তন: Gh0st RAT থেকে AtlasCross পর্যন্ত
অ্যাটলাসক্রস RAT-এর আবির্ভাব সিলভার ফক্সের ম্যালওয়্যার টুলকিটে একটি উল্লেখযোগ্য অগ্রগতি চিহ্নিত করে। পূর্ববর্তী অপারেশনগুলো মূলত Gh0st RAT থেকে উদ্ভূত ভ্যারিয়েন্টগুলোর উপর নির্ভরশীল ছিল, যার মধ্যে ছিল ValleyRAT (যা Winos 4.0 নামেও পরিচিত), Gh0stCringe, এবং HoldingHands RAT (Gh0stBins)। অ্যাটলাসক্রস হলো আরও একটি পরিশীলিত বিবর্তন, যা উন্নততর স্টিলথ, এক্সিকিউশন এবং পারসিস্টেন্স মেকানিজম অন্তর্ভুক্ত করেছে।
সংক্রমণ শৃঙ্খলের বিশ্লেষণ: প্রলোভন থেকে বাস্তবায়ন পর্যন্ত
এই আক্রমণ শৃঙ্খলটি প্রতারণামূলক ওয়েবসাইটগুলির মাধ্যমে শুরু হয়, যা ব্যবহারকারীদের ZIP আর্কাইভ ডাউনলোড করতে প্ররোচিত করে। এই আর্কাইভগুলিতে এমন ইনস্টলার থাকে যা একটি বৈধ ডিকয় অ্যাপ্লিকেশন এবং একটি ট্রোজানযুক্ত Autodesk বাইনারি উভয়ই ইনস্টল করে। ক্ষতিকারক ইনস্টলারটি একটি শেলকোড লোডার চালু করে, যা Gh0st RAT থেকে প্রাপ্ত একটি এমবেডেড কনফিগারেশন ডিক্রিপ্ট করে।
এই প্রক্রিয়াটি 'bifa668.com' ডোমেইন থেকে TCP পোর্ট 9899-এর মাধ্যমে কমান্ড-অ্যান্ড-কন্ট্রোল (C2) বিবরণ সংগ্রহ করে এবং একটি দ্বিতীয়-পর্যায়ের পেলোড পুনরুদ্ধার করে। চূড়ান্ত পর্যায়ে অ্যাটলাসক্রস RAT মেমরিতে কার্যকর হয়, যা প্রচলিত নিরাপত্তা সরঞ্জাম দ্বারা শনাক্ত হওয়ার সম্ভাবনা উল্লেখযোগ্যভাবে হ্রাস করে।
ক্ষতিকর পরিকাঠামো: অস্ত্রসজ্জিত ডোমেইন
এই প্রচারাভিযানটি একটি সমন্বিত পরিকাঠামোগত বিন্যাস প্রদর্শন করে, যেখানে বেশিরভাগ ক্ষতিকারক ডোমেইন ২৭ অক্টোবর, ২০২৫ তারিখে নিবন্ধিত হয়েছে, যা একটি সুচিন্তিত পরিকল্পনার ইঙ্গিত দেয়। ম্যালওয়্যার বিতরণের জন্য ব্যবহৃত নিশ্চিত ডোমেইনগুলো হলো:
অ্যাপ-জুম.কম
eyy-eyy.com
কেফুবাও-পিসি.কম
quickq-quickq.com
সিগন্যাল-সিগন্যাল.কম
telegrtam.com.cn
trezor-trezor.com
ultraviewer-cn.com
wwwtalk-app.com
www-surfshark.com
www-teams.com
এই ডোমেইনগুলো বৈধ পরিষেবাগুলোকে হুবহু অনুকরণ করে এবং সন্দেহ এড়ানোর জন্য প্রায়শই সূক্ষ্ম টাইপোগ্রাফিক বৈচিত্র্য বা আঞ্চলিক শনাক্তকারী অন্তর্ভুক্ত করে।
বিশ্বাসের অপব্যবহার: চুরি হওয়া কোড-স্বাক্ষর সার্টিফিকেট
শনাক্তকৃত সমস্ত ক্ষতিকারক ইনস্টলার একই চুরি করা এক্সটেন্ডেড ভ্যালিডেশন (EV) কোড-সাইনিং সার্টিফিকেট ব্যবহার করে স্বাক্ষরিত, যা ভিয়েতনামের হ্যানয়-ভিত্তিক একটি কোম্পানি DUC FABULOUS CO., LTD-কে ইস্যু করা হয়েছিল। একাধিক সম্পর্কহীন ম্যালওয়্যার ক্যাম্পেইনে এই সার্টিফিকেটের পুনঃব্যবহার সাইবার অপরাধী মহলে এর ব্যাপক প্রচলনের ইঙ্গিত দেয়। এই কৌশলটি ক্ষতিকারক বাইনারিগুলোর অনুভূত বৈধতা বাড়ায় এবং নিরাপত্তা ব্যবস্থা এড়িয়ে যেতে সাহায্য করে।
উন্নত সক্ষমতা: অ্যাটলাসক্রস RAT-এর অভ্যন্তরে
অ্যাটলাসক্রস RAT গোপনীয়তা, স্থায়িত্ব এবং নিয়ন্ত্রণের জন্য ডিজাইন করা একগুচ্ছ শক্তিশালী সক্ষমতা নিয়ে এসেছে। এটি পাওয়ারশেল ফ্রেমওয়ার্ককে একীভূত করে, যা একটি নেটিভ C/C++ পাওয়ারশেল এক্সিকিউশন ইঞ্জিন এবং এটি .NET কমন ল্যাঙ্গুয়েজ রানটাইম (CLR)-কে সরাসরি ম্যালওয়্যার প্রসেসের মধ্যে এমবেড করে।
কমান্ড কার্যকর করার আগে, ম্যালওয়্যারটি AMSI, ETW, Constrained Language Mode, এবং ScriptBlock লগিং-এর মতো গুরুত্বপূর্ণ নিরাপত্তা ব্যবস্থাগুলো নিষ্ক্রিয় করে দেয়। কমান্ড-অ্যান্ড-কন্ট্রোল সার্ভারের সাথে যোগাযোগ ChaCha20 ব্যবহার করে এনক্রিপ্ট করা হয়, যেখানে হার্ডওয়্যার-ভিত্তিক র্যান্ডম নম্বর জেনারেশনের মাধ্যমে প্রতি-প্যাকেট র্যান্ডম কী তৈরি করা হয়।
প্রধান কার্যকারিতাগুলোর মধ্যে রয়েছে:
- উইচ্যাটে টার্গেটেড ডিএলএল ইনজেকশন
- রিমোট ডেস্কটপ প্রোটোকল (RDP) সেশন হাইজ্যাকিং
- 360 Safe, Huorong, Kingsoft, এবং QQ PC Manager-এর মতো চীনা নিরাপত্তা সরঞ্জামগুলি থেকে সংযোগের TCP-স্তরের সমাপ্তি।
- ফাইল সিস্টেম ম্যানিপুলেশন এবং শেল কমান্ড এক্সিকিউশন
- নির্ধারিত কাজ তৈরির মাধ্যমে অধ্যবসায়
পরিচালন কৌশল: ব্যাপক মাত্রায় প্রতারণা
বিশ্বাসযোগ্যতা বজায় রাখতে এবং শনাক্তকরণ এড়াতে সিলভার ফক্স একটি বহুস্তরীয় ডোমেইন কৌশল অবলম্বন করে। এর মধ্যে রয়েছে টাইপোস্কোয়াটিং, ডোমেইন হাইজ্যাকিং এবং ডিএনএস ম্যানিপুলেশন, যা প্রায়শই ব্যবহারকারীর সন্দেহ কমাতে অঞ্চল-ভিত্তিক নামকরণের রীতির সাথে মিলিতভাবে ব্যবহার করা হয়। বৈধ পরিষেবাগুলোকে বিশ্বাসযোগ্যভাবে অনুকরণ করার ক্ষেত্রে দলটির সক্ষমতা এই প্রচারণার কার্যকারিতায় একটি গুরুত্বপূর্ণ ভূমিকা পালন করে।
এশিয়া জুড়ে আক্রমণের ক্রমবর্ধমান পথ
অন্তত ডিসেম্বর ২০২৫ থেকে, এই গোষ্ঠীটি জাপান, মালয়েশিয়া, ফিলিপাইন, থাইল্যান্ড, ইন্দোনেশিয়া, সিঙ্গাপুর এবং ভারত সহ একাধিক দেশে তাদের কার্যক্রম প্রসারিত করেছে। সময়ের সাথে সাথে আক্রমণের পদ্ধতি পরিবর্তিত হয়েছে; ক্ষতিকর পিডিএফ সংযুক্তি সহ ফিশিং ইমেল থেকে সরে এসে তারা SyncFuture TSM-এর মতো বৈধ কিন্তু ভুলভাবে কনফিগার করা রিমোট মনিটরিং এবং ম্যানেজমেন্ট টুলের অপব্যবহার শুরু করেছে।
পরবর্তী প্রচারণাগুলোতেও হোয়াটসঅ্যাপ অ্যাপ্লিকেশনের ছদ্মবেশে একটি পাইথন-ভিত্তিক তথ্য চোর ব্যবহার করা হয়েছে। এর আগে ২০২৬ সালের জানুয়ারিতে ব্ল্যাকমুন ম্যালওয়্যারের মাধ্যমে ভারতীয় ব্যবহারকারীদের কর-সংক্রান্ত প্রলোভন দেখানো হয়েছিল।
নমনীয় অস্ত্রাগার: অভিযোজিত সাইবার অপরাধ অভিযান
সিলভার ফক্স একাধিক ম্যালওয়্যার পরিবার ও কৌশল সমন্বয়ের মাধ্যমে উচ্চ মাত্রার কার্যক্ষম নমনীয়তা প্রদর্শন করে। RMM টুলস এবং কাস্টম পাইথন-ভিত্তিক স্টিলারের পাশাপাশি ভ্যালি র্যাট (ValleyRAT)-এর ব্যবহার ইনফেকশন চেইনের দ্রুত অভিযোজন সক্ষম করে। এই বহুমুখিতা বৃহৎ পরিসরের সুযোগসন্ধানী অভিযান এবং আরও সুনির্দিষ্ট, কৌশলগত আক্রমণ উভয়কেই সমর্থন করে।
দলটি একটি দ্বিমুখী মডেল অনুসরণ করে, যেখানে তারা ব্যাপক আক্রমণের পাশাপাশি দীর্ঘমেয়াদী সিস্টেম অ্যাক্সেস এবং নেটওয়ার্কের গভীরে অনুপ্রবেশের জন্য পরিকল্পিত আরও অত্যাধুনিক অভিযানের মধ্যে ভারসাম্য বজায় রাখে।
স্পিয়ার-ফিশিংয়ের নির্ভুলতা: কর্পোরেট শিকারদের লক্ষ্যবস্তু করা
ব্যাপক প্রচারণার পাশাপাশি, সিলভার ফক্স নির্দিষ্ট শিল্পখাত, বিশেষত জাপানি উৎপাদনকারী প্রতিষ্ঠানগুলোকে লক্ষ্য করে স্পিয়ার-ফিশিং আক্রমণ চালায়। এই আক্রমণগুলোতে কর পরিপালন, বেতন সমন্বয়, চাকরি পরিবর্তন এবং কর্মচারী স্টক মালিকানা পরিকল্পনা সম্পর্কিত অত্যন্ত বিশ্বাসযোগ্য প্রলোভন ব্যবহার করা হয়।
একবার মোতায়েন করা হলে, ValleyRAT আক্রমণকারীদেরকে নিম্নলিখিত কাজগুলো করতে সক্ষম করে:
- সংক্রমিত সিস্টেমগুলোর সম্পূর্ণ রিমোট নিয়ন্ত্রণ লাভ করুন
- সংবেদনশীল এবং আর্থিক তথ্য সংগ্রহ করুন
- রিয়েল টাইমে ব্যবহারকারীর কার্যকলাপ নিরীক্ষণ করুন
- নেটওয়ার্কের মধ্যে অধ্যবসায় বজায় রাখুন
এই স্তরের প্রবেশাধিকার হুমকি সৃষ্টিকারীদেরকে আক্রমণ বাড়াতে, গোপনীয় তথ্য পাচার করতে এবং আক্রান্ত পরিবেশের মধ্যে পরবর্তী শোষণমূলক পর্যায়গুলোর জন্য প্রস্তুতি নিতে সক্ষম করে।
